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(57) Abstract: The invention concerns a method 
for protecting an electronic entity with encrypted 
access, against DFA (Differential Fault Analysis) 
attacks which consists in: storing the result of a se- 
lected step (Rm, Kn) of an iterative process forming 
part of the cryptographic algorithm and in perform- 
ing once more at least part of the steps of said itera- 
tive process up to a new computation of a result cor- 
responding to the one which has been stored, com- 
paring the two results and denying distribution of 
an encrypted message (MC) if they are different. 

(57) Abr^g^ : Protection d*une entity 61ectronique 
k accfes crypto, contre les attaques du type DFA. 
On memorise le resultat d'une 6tape choisie (Rm, 
Kn) d*un processus it^ratif faisant partie de Talgo- 
rithme cryptographique et on refait au moins une 
partie des Stapes de ce processus it^ratif jusqu*^ re- 
calculer un i^ultat correspondant h celui qui a 6t6 
m6moris6, on compare les deux r^sultats et on in- 
terdit la diffusion d'un message crypt6 (MC) s*ils 
sont diff^rents. 
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Procede de securisation d'une entite electron igue a acces crvpte 

L'invention se rapporte a un. proc6de de securisation d'une entite 
6lectronique ^ accds crypt6, telle que par exemple une carte a microcircuit, le 
5 perfectionnement visant plus particulierement a d§tecter les attaques connues 
sous l'abr6viation DFA (Differential Fault Analysis, en anglais). L'invention vise 
particulierement a s6curiser des algorithmes connus tels que TABS ou le DES. 

Certaines entit6s 6Iectroniques a acc§s crypte, notamment les cartes ^ 
microcircuit, sont vuln6rabies a des attaques dites DFA consistant a perturber le 

10 deroulement de I'algorithme cryptographique de fagon S changer la valeur d'un 
resultat intermediaire, a traiter la difference obtenue entre le message chiffre 
normalement et le message chiffre avec enreur et a en deduire des informations 
sur la cle secrete de Tentite electronique. Les erreurs sont tres faciles a produire 
sur une carte a microcircuit. en intervenant sur I'environnement exterieur, par 

15 exemple en provoquant un pic de tension, en soumettant la carte a un eclair 
lumineux (notamment a Taide d'un faisceau laser), en falsant varier brutalement 
la frequence de I'horloge ext6rieure, etc. . . 

Pamii les algorithmes les plus utilises, on peut citer le DES (Data 
Encryption Standard, en anglais) et surtout I'AES (Advanced Encryption 

20 Standard, en anglais). On rappelle que les deux algorithmes AES et DES ont en 
commun d'appliquer d un message d'entr6e une succession de groupes 
d'operations dits "rounds" sous le contr6le d'une s6rie de sous-cl6s respectives, 
successivement elaborees a partir d'une cle initiale secrete, specifique de I'entite 
electronique consideree, C'est cette ci6 initiale (notee K cl-apres) que le fraudeur. 

25 tente de reconstituer. Une partie de Talgorithme est consacree a T^laboration des 
sous-cles en mettant en oeuvre un processus d'extension de cle par une fonction 
F, non lineaire dans le cas de I'AES. La fonction est appliqu6e a ladite cle initiale, 
puis a nouveau au resultat de I'application de ladite fonction et ainsi de suite. Les 
sous-cl6s sont 6labor6es k partir de cette succession de resultats interm6diaires 

30 issus de la cle initiale K. 

Jusqu'a present, les attaques de type DFA sont consid6r6es comme 
inexploitables en pratique vis-§-vis de I'algorithme de type AES. Cependant, des 
6tudes & Torigine de l'invention ont permis de mettre en 6vidence qu'une triple 
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attaque du type DFA, en synchronisme avec certaines applications de la fonction 
F at le debut du dernier "round", pernnet de retrouver tous les octets de la 
demiere sous-cle dans le cas ou ladite cle d'entree K est codee sur 1 28 bits, ce 
qui est actuellement le cas pour la plupart des systennes ou ralgorithnne AES est 
5 utilise- La connaissance de ces Informations pemnet de retrouver la cle d'entr6e. 

Uinvention offre une parade simple et efficace a ce type d'attaque. 
L'inventlon concerns un proc6d§ de s6curisatlon d'une entit6 6lectronique a 
acces crypte, laquelle comprend des moyens d'ex§cution d'un algorithme 
cryptographique consistent S appliquer d un message d'entr6e une succession 

10 de groupes d'op6rations dits "rounds" faisant intervenir une s6rie de sous-cl6s 
respectives, successivement elaborees par un processus iteratif mis en oeuvre a 
partir d'une cl6 initiate, caracterise en ce quil consiste a memoriser le resultat 
d'une etape dudit processus iteratif, a refaire au moins une partie des etapes 
dudit processus iteratif jusqu'au recalcul d'un resultat correspondant a celui qui a 

15 ete memorise, k comparer la valeur dudit resultat memorise a la valeur du 
rdsultat recalcuI6 correspondant et a interdire la diffusion d'un message crypt6 
r6sultant de la mise en oeuvre dudit algorithme si ces deux valeurs sont 
differentes. 

En efFet, si une erreur, due d une attaque DFA, intervient pendant le 
20 processus it§ratif d'61aboration des sous-cles, alors le resultat memorise et le 
resultat recalcule correspondant sont forc6ment differents car il est impossible 
de reproduire deux fois de suite la meme "erreur" dans la pratique. 

Par exemple, un resultat memorise, dit r6sultat intermediaire, peut etre 
Tune des etapes du processus dit de diversification de cle consistant a appliquer 
25 une fonction F non lineaire au resultat de Tetape analogue precedente. On peut 
aussi memoriser Tune des sous-cl§s et recalculer cette sous-cle a partir d'une 
6tape anterieure dudit processus it6ratif. Par exemple, on memorise la derniere 

S0US-CI6. 

Uinvention sera mieux comprise et d'autres avantages de celle-ci 
30 apparaitront plus clairement ^ la lumiere de la description qui va suivre, donn^e 
uniquement d titre d'exemple et faite en reference aux dessins annexes dans 
lesquels : 
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- la figure 1 est un schema d'une entite electronique telle qu'une carte a 
microcircuit, susceptible de mettre en oeuvre le precede de Tinvention ; 

- la figure 2 est un organigramme illustrant ralgorithme dit AES ; 

- la figure 3 est un organigramme Illustrant la mise en oeuvre de invention 
5 a titre de complement dans I'ex^cution de TAES ; et 

- la figure 4 est un organigramme illustrant Talgorithme DBS auquel 
rinvention peut aussi s'appliquer. 

Sur la figure 1 , on a repr6sent6 une entite 6lectronique 1 1 , formant ici une 
carte a microcircuit avec ses composants essentiels, ^ savoir un ensemble de 

10 plages de contact 12, metalliques. permettant de connecter le microcircuit 13 
contenu dans la carte a un lecteur de carte, serveur ou analogue avec lequel 
ladite carte a microcircuit va pouvoir 6changer des informations apres une phase 
d'authentification mettant en oeuvre un algorithme connu a cie secrete, par 
exemple Talgorithme AES ou ralgorithme DES. Classiquement, le microcircuit 13 

15 se d6compose en un microprocesseur 14, dont certains acces sont connectes 
aux plages de contact, et une memoire M coupl^e au microprocesseur. Lorsque 
la carte est couplSe a une unite exterieure pour remplir une fonction donnee 
(transaction financi6re, accds d un service tel6phonique ou telematlque, controle 
d'acces, etc.), une phase d'authentification est mise en oeuvre dans la carte. 

20 Ce processus est programme dans le microcircuit 13 et une partie de la memoire 
M lui est d^di§e. 

Par exemple, la phase d'authentification met en oeuvre un algorithme AES 
dont le fonctionnement va etre rappel6 en ref6rence d la figure 2. L'algorithme 
AES s'opere a partir d*un message d'entree ME transmis en clair par Tunite 

25 exterieure a laquelle Tentite electronique se trouve couplee. Uentite 1 1 possede 
aussi une cle secrete K, memorisee, et ralgorithme consiste ^ transformer le 
message ME jusqu'a obtenir un message chiffr6 MC a la suite d'un certain 
nombre de transfomiations op6rees avec Intervention d'un certain nombre de 
sous-cles Ko, Ki, K2, .... Kn-i, Kn. D'autre part, une fonction non lineaire F est 

30 programmSe dans I'entitS Electronique pour s'appliquer successivement, d'abord 
d la cle K, puis au r^sultat Ri la transformation de la cl6 K par la fonction F, puis 
au r§sultat R2 de la transformation du rEsultat Ri par la meme fonction F et ainsi 
de suite. Les diff6rentes sous-cl§s Ko ... Kn sont extraites de ce processus 
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d'extension de la cle K par la fonction F. Plus precisement, on sait que la cie K 
peut etre un mot de 128 bits, 192 bits ou 256 bits. Le message d'entree ME est 
un mot de 128 bits. Toutes les combinaisons sont possibles et I'homme du 
metier choisit la combinalson qui repr6sente le meilleur compromis, compte tenu 
5 du contexte, entre la rapidlte d'ex^cution et le niveau de securite requis. 
Actuellement cependant, la plupart des algorithmes AES effectivement mis en 
oeuvre font appel a une cl§ K de 128 bits. Les sous-cl6s Ko ... Kn doivent §tre au 
format du message d'entree. C'est pourquoi, chaque sous-cl6 est cr6ee a partir 
d'un ou deux resultats successifs elabor§s au oours du processus d'extension de 

10 cle par la fonction F. Dans I'exemple decrit, la cl6 K est codee sur 192 bits. Par 
consequent, la sous-cle Ko est extraite des deux premiers tiers de la cle K, la 
sous-cle Ki est extraite de Tautre tiers de la cle K et du premiers tiers du resultat 
intermediaire Ri de la premiere transformation de cette cle par la fonction F, la 
sous-cle K2 est extraite des deux derniers tiers du resultat intermediaire Ri, et 

15 ainsi de suite jusqu'a Telaboratlon de la derniere sous-cle Kn. 

Du c6t6 du traitement du message d'entree, les operations sont les 
suivantes. Ledit message d'entr6e ME est combine S la sous-cle Ko par une 
fonction ou exclusif 16. Apr6s quo!, le r6sultat est soumis ^ un groupe 
d'op6rations (appele ici ROUND 1) avec intervention de la sous-cl6 Ki. Puis, le 

20 resultat est soumis S nouveau a un groupe d'op6rations dit ROUND 2 avec 
Intervention de la sous-cl6 K2, jusqu'S ROUNDn-i, dit dernier ROUND, avec 
intervention de la sous-cle Kn-i. Tous les "ROUNDS", de 1 ^ n-1, sont composes 
de quatre transformations. Un ROUNDn, dit ROUND final avec intervention de la 
SOUS-CI6 Kn comporte seulement trois transformations. Le resultat de ce round 

25 final est un message chiffre MC qui est renvoye vers i'exterieur. 

A la base de I'invention, on a mis en evidence que, si on est capable de 
provoquer des perturbations comma indique ^ des moments precis du 
d6roulement de Talgorithme AES decrit ci-dessus, on peut retrouver tous les 
octets d'une sous-cle et plus particuli6rement selon I'exemple, de la demi6re 

30 sous-cle Kn de la fagon suivante : 

- si on provoque la perturbation au moment de rapplication de la demi6re 
fonction F, on arrive ^ retrouver des informations sur Tavant-demiere extension 
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de la cle par la fonction F. ^ savoir les quatre derniers octets de ravant-demier 
resultat Rm-v 

- si on parvient aussi a produire une perturbation au moment de 
{"execution de I'avant-derniere extension par la fonction F, on peut retrouver les 



- si on provoque une perturbation sur le d6but du dernier round 
(ROUNDn-i), on arrive S retrouver 8 octets de la derniere extension de cl6 par la 
fonction F, c'est-a-dire Rm- Ces octets appartiennent a la sous-cl6 Kn. 

- en traitant les r6sultats precedents, on amVe encore § retrouver six 
10 octets de plus repartis dans la derniere extension de cl6 Rm par la fonction F- 

Ces octets appartiennent aussi a la sous-cle Kn- 

Pour retrouver les deux derniers octets de la sous-cle Kn, il est 
envisageable d'etudier toutes les possibilites jusqu'a retrouver ces deux derniers 
octets. Par consequent, si la cle K avait ete codee sur 128 bits, elle aurait pu etre 

15 retrouvee ^ coup sOr par la seule mise en oeuvre de I'attaque decrite ci-<lessus. 
On rappelle que dans la majorite des algorithmes AES mis en oeuvre 
actuellement, la cle K est effectivement cod6e sur 128 bits et il n'y a pas de 
difference entre les resultats interm6diaires Ri, R2 ... Rm et les sous-cles Ki, K2 
... Kn (dans ce cas, n = m) puisque chaque sous-cl§ est constitute de la totalite 

20 d'un r6sultat interm6diaire Ri correspondant. Dans I'exemple dtcrit cependant, la 
cle K a ete codee sur 192 bits et I'attaque qui a ete decrite dans ses grandes 
lignes ci-dessus ne permet pas de retrouver la cle puisque le r6sultat Rm n*est 
pas entierement connu. On ne peut done pas "remonter" jusqu'a la cle K a partir 
de ce resultat incompletement connu. Cependant, on a affaibli considerablement 

25 la s6curite puisqu'on dispose d'informations partielles sur la cle, ce qui rend plus 
efficaces d'autres attaques (par exemple du type DPA) connues en soi. 

Quoi qu'il en soit, la parade a ce type d'attaque consiste a memoriser un 
resultat intermediaire Ri, par exemple Rm, ou une sous-cie, par exemple ici la 
derniere sous-cl6 Kn, a refaire au moins une partie des etapes d'6laboration de la 

30 succession desdites sous-cl6s, c'est-a-dire essentiellement le processus 
d'extension de cie par la fonction F, jusqu'au recalcul d'un resultat correspondant 
d celui qui a et6 memorise. A partir de ce moment, on dispose de deux valeurs 
(de resultat intermediaire ou de sous-cie) qui doivent etre identiques si I'entite 
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quatre octets voisins de Rm-i. 
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6lectronique n'a ete soumise k aucune attaque du type DFA. II suffit de comparer 
la valeur du resultat ou sous-cle memorise a la valeur du resultat ou sous-cle 
recalcule correspondant et interdire la diffusion du message crypto MC issu du 
ROUND final si ces deux valeurs sont differentes. C'est ce qu'illustre la figure 3 
5 oCi I'algorithme AES est compl6t§ (selon un mode de realisation) en refaisant la 
totalite des 6tapes d'^laboration de la succession desdites sous-cl6s et plus 
particulierement du processus d'extension de la cl6 K. Selon cet exemple, 
Talgorithme AES d6crit en r6f§rence d la figure 2 est execute une premiere fols, 
le resultat est un message crypt6 MC. La demi^re sous-cle Kn est m6moris6e. 

10 Ensuite, on refait tout le processus d'extension de cl§ par la fonction F ^ partir de 
la cle K secrete de I'entite. Cecl aboutit a determiner une nouvelle valeur de Kn. 
La valeur pr6c6demment m^moris^e et la nouvelle valeur sont comparees (test 
d'egallte). Si les deux valeurs sont egales, on autorise la sortie du message MC. 
Si les deux valeurs ne coTncident pas, la valeur MC n'est pas retransmise ^ 

1 5 rext^rleur et on peut ^mettre un. message d'erreur. 

Dans I'exemple qui vient d'etre ddcrit, on refait la totality du processus 
d'extension de cle jusqu'^ obtenir le nouveau calcui de la demldre sous-cl6 Kn. 
Comme on I'a vu plus haut, on peut m6moriser un resultat interm^diaire Ri ou , 
sous-cl6, quelconque et refaire au moins une partie des §tapes d'6laboration de 

20 la succession des sous-cl6s jusqu'au recalcul d'un resultat interm6dlaire ou 
SOUS-CI6 correspondant S celui qui a §t6 m6moris§. D'une fagon generate, on a 
avantage, si on ne refait pas la totality du cycle d'extension de cl§ par la fonction 
F, a refaire au moins une partie finale des etapes d'6laboration de la succession 
desdites sous-cles, c'est-a-dire plus particulierement une partie finale du 

25 processus d'extension de cle par la fonction F, jusqu'^ obtenir un second calcul 
du dernier r6sultat interm6diaire Rm ou de la derniere sous-cl6. 

Si on ne refait pas rint6gralit6 du processus it6ratif d'extension de cle 
partir de la cl6 K), il faut 6videmment m6moriser le r6sultat intermediaire (ou la 
sous-cl§) d'oD on repart. 

30 L'invention n'est pas Iimit6e a la securisation de I'algorithme AES. A titre 

d'exemple. I'algorithme DES, 6galement connu, est d§crit S la figure 4. 
Brievement, dans cet algorithme, le processus d'extension de la cl6 K est le 
suivant. La cl§ K (64 bits) est soumise a une permutation P1 sur les bits et 
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reduite a 56 bits. Le resultat est un mot 20 partage en deux parties de 28 bits. 
Chacune d'elles est soumise a une permutation R (rotation circulaire sur les bits) 
de 1 ou 2 bits selon les cas. Les deux r6sultats sont rassembles pour former un 
nouveau mot 21 de 56 bits soumis a une nouvelle permutation P2 et concatene 
5 d 48 bits pour donner une sous-cle Ki. Par ailleurs, le mot 21 de 56 bits est traite 
de fagon a subir deux rotations circulaires R pour aboutir a un nouveau mot 22, a 
nouveau soumis a la permutation P2 pour engendrer une sous-cl6 K2 et ainsi de 
suite jusqu'S K16. Par ailleurs, le message d'entr6e ME de 64 bits subit les 
transformations suivantes. II est d'abord soumis a une penmutation P3 sur les 

10 bits et le r6sultat est soumis 6 des fonctions constituant le ROUND 1 faisant 
intervenir la sous-cle KI . On met ensuite en oeuvre d'autres rounds successifs 
faisant intervenir d'autres sous-cles correspondantes (jusqu'a la sous-cle K16) et 
le resultat du dernier round est soumis ^ une permutation inverse P3\ Le resultat 
de cette permutation inverse est le message chiffre MC destine a §tre renvoye. 

15 On congoit que la structure generate de Talgorithme DES qui vient d'etre 

rappelee ci-dessus se pr§te bien a la mise en ceuvre de invention. II suffit par 
exemple de m^moriser la sous-cl6 K16 et de refaire tout ou partie du processus 
de diversification de la c\& K compos6 de la permutation P1 et des rotations R. 
Le test peut meme Stre r§alis6 sur la valeur du dernier resultat interm^diaire 

20 (mot 36) avant ia demidre penmutation P2. Dans ce cas, c'est ce dernier resultat 
qui est memorise et non pas la sous-cle K1 6. 

Bien entendu, I'invention conceme aussi toute entite electronique, 
notamment toute carte §i microcircuit, comportant des moyens de mise en oeuvre 
du precede decrit ci-dessus. 

25 
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REVENDICATIONS 

1. Procede de securisation d'une entite electronique a acces crypte, 
laquelle comprend des moyens d'ex6cution d'un algorithme cryptographique 
5 consistant a appliquer a un message d'entr^e una succession de groupes 
d'operatlons dits "rounds" faisant intervenir une serie de sous-cles (Ko ... Kn) 
respectives, successivement 6labor6es par un processus iteratif mis en oeuvre a 
partir d'une cl6 initiale (K), caract6rls6 en ce qu'll consiste ^ m6moriser un 
resultat d'une 6tape intemn^diaire (Rm. Kn) dudit processus iteratif, S refaire au 

10 moins une partie des etapes dudit processus it6ratif jusqu'au recalcul d'un 
r6sultat correspondant S celui qui a §t6 m§moris§, a comparer la valeur dudit 
r6sultat m6moris6 d la valeur du r§sultat recalcul6 conrespondant et d interdire la 
diffusion d'un message crypt6 (MC) r6sultant de la mise en osuvre dudit 
algoritlime si ces deux valeurs sont differentes. 

15 2. Proced6 selon la revendication 1, caracterise en ce qu'il consiste a 

m§moriser la valeur d'une sous-cl§ (Kn) et ^ refaire au moins une partie des 
etapes dudit processus it§ratif jusqu'au recalcul d'une sous-cl§ correspondant a 
ladite sous-cle m^morisee. 

3. Proc6d6 selon la revendication 1, caract6ris6 en ce qu'il consiste ^ 
20 m6morlser la valeur d'un r6sultat intenm^diaire (Rm) dudit processus it6ratif et d 

refaire au moins une partie dudit processus it§ratif jusqu'au recalcul d'un resultat 
interm^diaire conrespondant d celul qui a 6t6 m§moris§. 

4. Proced6 selon la revendication 2, caract6rise en ce qu'il consiste ^ 
m6moriser la valeur de la demidre sous-cl6 (Kn) et ^ refaire au moins une partie 

25 finale des stapes d'6laboration de la succession desdites sous-cles jusqu'^ 
obtenir un second calcul de ladite demiere sous-cl6. 

5. Proced§ selon la revendication 4, caract6ris§ en ce qu'il consiste ^ 
refaire la totality des etapes d'6laboration de la succession desdites sous-cles. 

6. Proc6de selon Tune des revendications prec6dentes, caracterise en 
30 ce qu'll s'applique § un algorithme dit AES, connu en soi. 

7. Proc6d§ selon I'une des revendications 1^6, caracterise en ce qu'il 
s'applique d un algorithme dit DES, connu en soi. 
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8. Entite electronique autonome caracterisee en ce qu'elle comporte des 
moyens de mise en oeuvre (13) du precede selon Tune des revendications 
precedentes. 

9. Entite electronique selon la revendication 8, caracterisee en ce qu'elle 
est agencee sous forme de carte a microcircuit 
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